Poistimme Microsoft Exchange-palvelimen haavoittuvuutta koskevan varoituksen
Tietoturva Nyt!
Poistimme Microsoft Exchange -sähköpostipalvelimien haavoittuvuutta koskeva varoituksen, sillä haavoittuvuuden onnistuneesta hyväksikäytöstä ei ole tullut uusia ilmoituksia. Suomalaisten organisaatioiden Exchange-palvelimet olivat kartoituksemme mukaan päivitetty maaliskuun lopulla.
Tapauksen kulku
Havaitsimme maaliskuun alussa, että Microsoft Exchange -sähköpostipalvelimen haavoittuvuus kosketti satoja suomalaisia organisaatiota. Julkaisimme aiheesta punaisen, eli vakavimman luokan varoituksen. Exchange-palvelimesta löydettiin seitsemän eri haavoittuvuutta ja niitä hyväksikäyttäen hyökkääjät olivat päässet sähköpostipalvelimien kautta uhrien sähköpostitileille. Tämän jälkeen hyökkääjät olivat asentaneet haittaohjelman, jonka avulla he vahvistivat jalansijaansa uhrin ympäristössä.
Maaliskuun lopulla muutimme varoituksen keltaiseksi. Suomalaiset organisaatiot olivat aloittaneet korjaavat toimenpiteet heti maaliskuun alussa saatuaan tiedon haavoittuvuudesta. Maaliskuun loppupuolella tilanne ei ollut enää kriittinen.
Varoituksen poisto
Exchange-palvelimen haavoittuvuuksia koskeva varoitus poistetaan, sillä varoituksen aiheuttanut tilanne on saatu Suomen osalta riittävästi hallintaan. Tämän hetken näkemyksemme mukaan suomalaiset organisaatiot ovat päivittäneet palvelimensa ja akuutti vaihe on ohi. Varoitukselle ei siis enää ole tarvetta.
Kyberturvallisuuskeskus on ottanut aktiivisesti yhteyttä haavoittuvien Exchange-palvelimien ylläpitäjiin. Kaikki Suomessa toimivat Exchange-palvelimet saatiin haavoittuvuuden osalta päivitettyä ja korjattua maaliskuun loppuun mennessä. Microsoftin oman tilannearvion mukaan tilanne maailmalla on edelleen aktiivinen ja 5-8 % kaikista Exchange-palvelimista tarvitsee vielä päivitystoimenpiteitä.
Varoituksen poiston jälkeenkin on tärkeää, että organisaatiot suorittavat tietomurtotutkinnan loppuun ja tekevät korjaavat toimenpiteet havaintojen perusteella. Vaikka varoitus poistetaan, sitä koskenut haavoittuvuus ei jää viimeiseksi, vaan sen jälkeen on julkaistu jo uusia Exchange-sähköpostipalvelimia koskevia kriittisiä haavoittuvuuksia.
Haavoittuvien palvelinten ja palveluiden päivitys ei ole vain kertatapahtuma, vaan on edelleen tärkeää huolehtia päivitysprosessien jatkuvuudesta.
Ohessa linkki poistettuun varoitukseen (Ulkoinen linkki), asiaa koskevaan haavoittuvuustiedotteeseen (Ulkoinen linkki), varoituksesta tehtyyn Tietoturva Nyt! -artikkeliin (Ulkoinen linkki) sekä ohjeeseen (Ulkoinen linkki).